Toon posts:

[virus] IRC worm, kan hem niet verwijderen*

Pagina: 1
Acties:

woensdag 14 april 2004 16:14

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Ik heb een irc worm of virus opgelopen en hij gaat iedereen pm'en en dan zegt ie wat dingen in het engels als: "hi" en "how are you". Soms plakt hij ook een link door, (de link waar ik het ook mee heb gekregen). "hxxp://www.mikenoels.net/pingpong.swf"

Niet op klikken dus.
Ik heb al met veel worm en trojan software gescanned. Namelijk A2, The cleaner, Anti Trojan. Ook heb ik Ad-Aware en Spybot gebruikt. Ze vonden allemaal wel iets, maar als ik dan alles repareerde of verwijderde, dan begon mijn irc ook weer pm's te sturen.

Weet iemand welke worm/trojan/virus dit is en hoe ik het eraf krijg ?

Dankje

[ Voor 6% gewijzigd door elevator op 14-04-2004 20:45 ]

woensdag 14 april 2004 16:15

Acties:
  • sdomburg
  • Registratie: Augustus 2001
  • Laatst online: 03-09-2024

sdomburg

Met een fatsoenlijke up2date virusscanner.

woensdag 14 april 2004 16:15

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Kijk eens op de hoofdsite:
Unfortunately, our family web site got hacked and was used to spread an IRC worm to possibly thousands of users.
The site is down until our web host can help us figure out how it happened and how we can make sure it doesn't happen again...
Ging waarschijnlijk om die nieuwe IE-exploit...

Virussen? Scan ze hier!

woensdag 14 april 2004 16:17

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

En hier staat niets bruikbaars bij?

Signature

woensdag 14 april 2004 16:26

Acties:

Verwijderd

Kijk eerst het topic waar pasta naar linkt eens door.
Mocht je er daarna nog niet uitkomen, post dan je HijackThis log.
Hou je wel hieraan aub Beveiliging en Virussen - Nieuw topic starten :)

woensdag 14 april 2004 16:27

Acties:
  • vliegjong
  • Registratie: Januari 2003
  • Laatst online: 08-08-2017

vliegjong

Bump!

http://download.nai.com/products/mcafee-avert/stinger.exe
deze downen
veilige modus opstarten en stinger laten draaien....


er hoor een slot request

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 14 april 2004 16:32

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Ik heb mijn notepad enzo overschreven en ook nog in mijn reg gekeken en gezocht naar enkele bekende bestanden uit die thread maar niets was bij mij van toepassing.

Ik zal even rebooten om te kijken of die notepad verandering nut heeft gehad.

woensdag 14 april 2004 16:33

Acties:

Verwijderd

vliegjong schreef op 14 april 2004 @ 16:27:
http://download.nai.com/products/mcafee-avert/stinger.exe
deze downen
veilige modus opstarten en stinger laten draaien....


er hoor een slot request
Ik betwijfel ten zeerste of Stinger dit gaat vinden, het is geen wonderprog hoor.
Het detecteert alleen enkel zeer ITW malware.

Wij sluiten normaal gesproken geen topics als het probleem opgelost is.
Zeker gezien het feit dat het allerminst zeker is dat opgelost is.
Als je vindt dat een topic behoort te zijn, dan mag je dit melden via TopicReport. :)

woensdag 14 april 2004 17:04

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Ok hij stuurt nog steeds pm's. Iemand nog idee-en ?

woensdag 14 april 2004 17:12

Acties:

Verwijderd

marcel_koggel schreef op 14 april 2004 @ 17:04:
Ok hij stuurt nog steeds pm's. Iemand nog idee-en ?
Lees mijn posts eens door?

woensdag 14 april 2004 18:07

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
stinger vond ook niets.

woensdag 14 april 2004 20:46

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Volgens mij heeft Schouw nu al 3 keer gevraagd je hijackthis logfile te posten. Lees gewoon eens - en lees ook de rest waar Schouw naar linked - en dan met name het stappenplan :)

[ Voor 31% gewijzigd door elevator op 14-04-2004 20:47 ]

zondag 18 april 2004 12:38

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Hier is mijn HijackThis log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86

Logfile of HijackThis v1.97.7
Scan saved at 12:38:13, on 18-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\FORBEE~1\multi upload skip.exe
C:\WINDOWS\System32\umcss.exe
C:\Steam\Steam.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\mIRC2\mirc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marcel\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Tiscali
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: draw info - {095D663C-1181-8F25-9331-0470AFDA4F00} - C:\PROGRA~1\STOPLI~1\CloseDeaf.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AudioBags] C:\PROGRA~1\FORBEE~1\multi upload skip.exe
O4 - HKLM\..\Run: [UsrManagmentConf] umcss.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Steam] C:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office 2003\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031024/qtinstall.info.apple.com/abarth/nl/win/QuickTimeFullInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37941.5630092593
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

zondag 18 april 2004 12:43

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

code:
1

O4 - HKLM\..\Run: [UsrManagmentConf] umcss.exe


Dat lijkt me niet helemaal ok... zou je die file eens naar mij willen mailen?

Ken je dit:

code:
1
2

O4 - HKCU\..\Run: [Steam] C:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"


Mij zegt het namelijk niets....

Deze kunnen neem ik aan ook wel weg:

code:
1
2

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)


Deze ook denk ik, maar niet helemaal zeker van:
code:
1

O3 - Toolbar: draw info - {095D663C-1181-8F25-9331-0470AFDA4F00} - C:\PROGRA~1\STOPLI~1\CloseDeaf.dll (file missing)

[ Voor 51% gewijzigd door wildhagen op 18-04-2004 12:47 ]

Virussen? Scan ze hier!

zondag 18 april 2004 12:52

Acties:
  • Firestone
  • Registratie: Augustus 2001
  • Laatst online: 29-05 11:48

Firestone

$ su - vuursteen

Ik had laatst ook een irc virus en na ff rondzoeken kwam ik bij het programma 'swatit',
eens begonnen als puur voor irc. Als je daarmee je irc dir scant controlleert hij het. Bij mij was de .exe alleen besmet. Een nieuwe .exe erin gegooit en het was voorbij. http://swatit.org/

[ Voor 16% gewijzigd door Firestone op 18-04-2004 12:54 ]

zondag 18 april 2004 13:05

Acties:

Verwijderd

Het is/was de bedoeling dat je zelf ook je HT log doorkijkt..
Gezien het feit dat wildhagen toch zo aardig is geweest je log door te kijken, heeft het topic dichtsmijten ook geen nut meer. :P
O4 - HKLM\..\Run: [UsrManagmentConf] umcss.exe
Die file zou ik ook graag eens willen zien, zie signature voor mail.
O4 - HKCU\..\Run: [Steam] C:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
De eerste is legit(weet wel niet meer wat).
Tweede is a², een anti-trojan prog.

zondag 18 april 2004 13:07

Acties:
  • GGS_206
  • Registratie: Juli 2001
  • Niet online

GGS_206

Oranje!

Verwijderd schreef op 18 april 2004 @ 13:05:
Het is/was de bedoeling dat je zelf ook je HT log doorkijkt..
Gezien het feit dat wildhagen toch zo aardig is geweest je log door te kijken, heeft het topic dichtsmijten ook geen nut meer. :P

[...]

Die file zou ik ook graag eens willen zien, zie signature voor mail.

[...]

De eerste is legit(weet wel niet meer wat).
Tweede is a², een anti-trojan prog.
steam is progje voor counterstrike. Kan geen kwaad verder

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›

zondag 18 april 2004 13:36

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
steam = counter strike

zondag 18 april 2004 13:43

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Oké, die umcss.exe is dus idd een virus. McAfee meld dit:
Attachment file : umcss.exe
Scanner Detected: Morphine (Virus)
Action taken : Moved
Ik heb hem ff naar McAfee gesubmit, want Morphine is een generic detectie. Misschien dat ze hem nader kunnen specificeren...

Virussen? Scan ze hier!

zondag 18 april 2004 13:45

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
moet ik die file gewoon verwijderen dan ?

Toegang is Geweigerd.

Is die Multi Upload Skip.exe geen spyware ofzo ? Die kwam laatst zomaar in mijn program files te staan.

[ Voor 62% gewijzigd door Msel op 18-04-2004 13:51 ]

zondag 18 april 2004 13:46

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

marcel_koggel schreef op 18 april 2004 @ 13:45:
moet ik die file gewoon verwijderen dan ?
Ja.

Kaspersky online scanner detected dit:
Current object: umcss.exe

umcss.exe Packed: Morphine
umcss.exe Packed: UPX
umcss.exe Infected: Backdoor.IRCBot.gen
Is die Multi Upload Skip.exe geen spyware ofzo ? Die kwam laatst zomaar in mijn program files te staan.
Hmm, ik ben een beetje allergisch voor dingen die 'opeens' ergens verschijnen... zou je me die file ook eens willen mailen?

[ Voor 27% gewijzigd door wildhagen op 18-04-2004 14:15 ]

Virussen? Scan ze hier!

zondag 18 april 2004 17:57

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Die Multi Upload Skip.exe komt jou kant op.

Hoe moet ik die umcss.exe verwijderen dan ?

Ik heb hem in ieder geval al uit msconfig -> opstarten gehaald en het proces is gekilled.

Na een reboot staat het proces trouwens uit. Maar die irc persoonlijkheid blijft bestaan.

[ Voor 57% gewijzigd door Msel op 18-04-2004 18:14 ]

zondag 18 april 2004 18:22

Acties:
  • Miki
  • Registratie: November 2001
  • Laatst online: 12:09

Miki

marcel_koggel schreef op 18 april 2004 @ 13:36:
steam = counter strike
Sorry hoor, maar normaal hoort steam thuis in de map c:\program files\steam
Dit is dus nu niet het geval, voor alle zekerheid moet deze map ook dus worden nagekeken.

Laatst kwamen we ook het bestand jushed.exe tegen in de windows map. jushed32.exe is een update module van Sun Java, alleen op de cijfers 32 is het bestand dus nagenoeg gelijk. Alles wat niet in standaard mappen thuis hoort moet worden nagekeken.

zondag 18 april 2004 20:15

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Ik heb mijn counterstrike gewoon in de root geinstalleerd. Niets om je zorgen over te maken!

zondag 18 april 2004 20:59

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

marcel_koggel schreef op 18 april 2004 @ 17:57:
Die Multi Upload Skip.exe komt jou kant op.
Tnx, heb hem even bekeken, maar het lijkt geen virus/trojan oid te zijn. Maar om alles uit te sluiten heb ik hem toch even gesubmit naar NAI. Google leverde niet één hit op...
Hoe moet ik die umcss.exe verwijderen dan ?
Even een uptodate virusscanner gebruiken denk ik. Desnoods een of meerdere online-scanners.

Virussen? Scan ze hier!

maandag 19 april 2004 20:00

Acties:
  • Msel
  • Registratie: Juni 2002
  • Laatst online: 15-08 10:29

Msel

...

Topicstarter
Als je nu naar de aller eerst genoemde site gaat. Zie je hoe het virus van je computer verwijdert moet worden.

Links:
http://www.securityfocus.com/archive/1/360157
http://www.securityfocus.com/archive/1/359469

Toch bedankt.. :D
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq